80,443 - Pentesting Web Metodolojisi

Reading time: 19 minutes

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking'i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Temel Bilgiler

Web servisi en yaygın ve kapsamlı servisdir ve birçok farklı türde zafiyet vardır.

Varsayılan port: 80 (HTTP), 443(HTTPS)

bash
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  ssl/https
bash
nc -v domain.com 80 # GET / HTTP/1.0
openssl s_client -connect domain.com:443 # GET / HTTP/1.0

Web API Rehberi

Web API Pentesting

Metodoloji özeti

Bu metodolojide yalnızca bir domain (veya subdomain) üzerinde saldırı yapacağınızı varsayacağız. Bu nedenle, scope içindeki her keşfedilen domain, subdomain veya belirsiz web server içeren IP için bu metodolojiyi uygulamalısınız.

  • Önce web sunucusu tarafından kullanılan technologies'i identifying ederek başlayın. Tech'i başarıyla tespit edebilirseniz, testin geri kalanında akılda tutulması gereken tricks'lere bakın.
  • Kullanılan technology'nin version'ına ait bilinen herhangi bir vulnerability var mı?
  • Herhangi bir well known tech mi kullanılıyor? Daha fazla bilgi çıkarmak için herhangi bir useful trick var mı?
  • Çalıştırılacak herhangi bir specialised scanner var mı (ör. wpscan)?
  • General purposes scanners başlatın. Ne bulacaklarını veya ilginç bilgi verip vermeyeceklerini bilemezsiniz.
  • İlk kontrollerle başlayın: robots, sitemap, 404 error ve SSL/TLS scan (HTTPS ise).
  • Web sayfasını spidering ile taramaya başlayın: Kullanılan tüm olası files, folders ve parameters'ları bulma zamanı. Ayrıca special findings'leri kontrol edin.
  • Not: brute-forcing veya spidering sırasında yeni bir directory keşfedildiğinde, o directory spidered edilmelidir.
  • Directory Brute-Forcing: Yeni files ve directories aramak için keşfedilen tüm folders üzerinde brute force yapmayı deneyin.
  • Not: brute-forcing veya spidering sırasında yeni bir directory keşfedildiğinde, o directory Brute-Forced edilmelidir.
  • Backups checking: Keşfedilen files'ların backups'larını common backup uzantılarını ekleyerek bulup bulamayacağınızı test edin.
  • Brute-Force parameters: Gizli parameters'ları bulmaya çalışın.
  • Tüm mümkün olan endpoints'leri ve user input kabul edenleri identified ettikten sonra, bunlarla ilgili her türlü vulnerabilities'i kontrol edin.
  • Bu kontrol listesini izleyin

Server Version (Vulnerable?)

Tanımlama

Çalışan server version için bilinen herhangi bir vulnerabilities olup olmadığını kontrol edin.
HTTP headers and cookies of the response kullanılan technologies ve/veya versionidentify etmekte çok yararlı olabilir. Nmap scan server version'ı identify edebilir, ancak whatweb, webtech or https://builtwith.com/:

bash
whatweb -a 1 <URL> #Stealthy
whatweb -a 3 <URL> #Aggresive
webtech -u <URL>
webanalyze -host https://google.com -crawl 2

Search for web uygulamasının zafiyetleri sürümü

Herhangi bir WAF olup olmadığını kontrol et

Web teknoloji hileleri

Kullanılan farklı bilinen teknolojilerde zafiyet bulmak için bazı trikler:

Take into account that the same domain can be using different technologies in different ports, folders and subdomains.
Eğer web uygulaması daha önce listelenmiş herhangi bir tech/platform veya başka bir teknoloji kullanıyorsa, Internet'te yeni hileleri aramayı unutmayın (ve bana haber verin!).

Source Code Review

Eğer uygulamanın source code'u github üzerinde erişilebilirse, uygulamaya kendi başınıza bir White box test gerçekleştirmenin yanı sıra mevcut Black-Box testing için faydalı olabilecek bazı bilgiler elde edebilirsiniz:

  • Web üzerinden erişilebilir bir Change-log, Readme veya Version dosyası ya da sürüm bilgisi içeren herhangi bir şey var mı?
  • Credentials nasıl ve nerede saklanıyor? Erişilebilir herhangi bir dosya içinde kimlik bilgileri (kullanıcı adları veya parolalar) var mı?
  • Parolalar plain text mi, encrypted mı saklanıyor veya hangi hashing algorithm kullanılıyor?
  • Bir şeyi şifrelemek için herhangi bir master key kullanılıyor mu? Hangi algorithm kullanılıyor?
  • Herhangi bir zafiyeti kullanarak bu dosyalardan herhangi birine erişebiliyor musunuz?
  • github'da (çözümlenmiş ve çözülmemiş) herhangi bir ilginç bilgi var mı? Issues'larda veya commit history'de (örneğin eski bir commit içinde eklenmiş bir parola) ilginç şeyler bulunuyor mu?

Source code Review / SAST Tools

Automatic scanners

General purpose automatic scanners

bash
nikto -h <URL>
whatweb -a 4 <URL>
wapiti -u <URL>
W3af
zaproxy #You can use an API
nuclei -ut && nuclei -target <URL>

# https://github.com/ignis-sec/puff (client side vulns fuzzer)
node puff.js -w ./wordlist-examples/xss.txt -u "http://www.xssgame.com/f/m4KKGHi2rVUN/?query=FUZZ"

CMS tarama araçları

Bir CMS kullanılıyorsa bir tarayıcı çalıştırmayı unutmayın, belki işinize yarayacak bir şey bulunur:

Clusterd: JBoss, ColdFusion, WebLogic, Tomcat, Railo, Axis2, Glassfish
CMSScan: WordPress, Drupal, Joomla, vBulletin web sitelerini güvenlik sorunları açısından tarar. (GUI)
VulnX: Joomla, Wordpress, Drupal, PrestaShop, Opencart
CMSMap: (W)ordpress, (J)oomla, (D)rupal veya (M)oodle
droopscan: Drupal, Joomla, Moodle, Silverstripe, Wordpress

bash
cmsmap [-f W] -F -d <URL>
wpscan --force update -e --url <URL>
joomscan --ec -u <URL>
joomlavs.rb #https://github.com/rastating/joomlavs

Bu noktada istemci tarafından kullanılan web sunucusu hakkında (veri verildiyse) bazı bilgilere ve test sırasında akılda tutulması gereken bazı hilelere zaten sahip olmalısınız. Şanslıysanız bir CMS bulup bir scanner çalıştırmışsınızdır.

Adım adım Web Uygulama Keşfi

Bu noktadan itibaren web uygulamasıyla etkileşime geçmeye başlayacağız.

İlk kontroller

İlginç bilgi içeren varsayılan sayfalar:

  • /robots.txt
  • /sitemap.xml
  • /crossdomain.xml
  • /clientaccesspolicy.xml
  • /.well-known/
  • Ana ve ikincil sayfalardaki yorumları da kontrol edin.

Hataları zorlamak

Web sunucuları garip veriler gönderildiğinde beklenmedik şekilde davranabilir. Bu, vulnerabilities veya hassas bilgilerin ifşasına yol açabilir.

  • Erişin sahte sayfalara örn /whatever_fake.php (.aspx, .html, vb.)
  • Cookie değerlerine ve parametre değerlerine "[]", "]]" ve "[[" ekleyerek hatalar oluşturun
  • Hata üretmek için girdiyi /~randomthing/%s olarak URL'in sonuna verin
  • PATCH, DEBUG gibi farklı HTTP Verbs deneyin ya da FAKE gibi yanlış olanları deneyin

Dosya yükleyip yükleyemeyeceğinizi kontrol edin (PUT verb, WebDav)

Eğer WebDav'in etkin olduğunu fakat root klasörüne dosya yüklemek için yeterli izniniz yoksa, şunları deneyin:

  • Brute Force ile kimlik bilgilerini deneyin
  • WebDav aracılığıyla dosya yüklemeyi web sayfası içinde bulunan diğer klasörlerde deneyin. Başka klasörlere dosya yükleme izniniz olabilir.

SSL/TLS zafiyetleri

  • Eğer uygulama herhangi bir bölümde HTTPS kullanımını zorlamıyorsa, bu MitM'e karşı açıktır
  • Uygulama hassas verileri (parolalar) HTTP üzerinden gönderiyorsa, bu yüksek şiddette bir zafiyettir.

Bu tür zafiyetleri kontrol etmek için testssl.sh kullanın (Bug Bounty programlarında muhtemelen bu tür zafiyetler kabul edilmeyecektir) ve zafiyetleri yeniden kontrol etmek için a2sv kullanın:

bash
./testssl.sh [--htmlfile] 10.10.10.10:443
#Use the --htmlfile to save the output inside an htmlfile also

# You can also use other tools, by testssl.sh at this momment is the best one (I think)
sslscan <host:port>
sslyze --regular <ip:port>

Information about SSL/TLS vulnerabilities:

Spidering

Web içinde bir tür spider başlatın. Spider'ın amacı test edilen uygulamadan mümkün olduğunca çok find as much paths as possible bulmaktır. Bu nedenle, geçerli yolları bulmak için web crawling ve harici kaynaklar kullanılmalıdır.

  • gospider (go): HTML spider, LinkFinder in JS files and external sources (Archive.org, CommonCrawl.org, VirusTotal.com).
  • hakrawler (go): HML spider, with LinkFider for JS files and Archive.org as external source.
  • dirhunt (python): HTML spider, also indicates "juicy files".
  • evine (go): Interactive CLI HTML spider. It also searches in Archive.org
  • meg (go): This tool isn't a spider but it can be useful. You can just indicate a file with hosts and a file with paths and meg will fetch each path on each host and save the response.
  • urlgrab (go): HTML spider with JS rendering capabilities. However, it looks like it's unmaintained, the precompiled version is old and the current code doesn't compile
  • gau (go): HTML spider that uses external providers (wayback, otx, commoncrawl)
  • ParamSpider: This script will find URLs with parameter and will list them.
  • galer (go): HTML spider with JS rendering capabilities.
  • LinkFinder (python): HTML spider, with JS beautify capabilities capable of search new paths in JS files. It could be worth it also take a look to JSScanner, which is a wrapper of LinkFinder.
  • goLinkFinder (go): To extract endpoints in both HTML source and embedded javascript files. Useful for bug hunters, red teamers, infosec ninjas.
  • JSParser (python2.7): A python 2.7 script using Tornado and JSBeautifier to parse relative URLs from JavaScript files. Useful for easily discovering AJAX requests. Looks like unmaintained.
  • relative-url-extractor (ruby): Given a file (HTML) it will extract URLs from it using nifty regular expression to find and extract the relative URLs from ugly (minify) files.
  • JSFScan (bash, several tools): Gather interesting information from JS files using several tools.
  • subjs (go): Find JS files.
  • page-fetch (go): Load a page in a headless browser and print out all the urls loaded to load the page.
  • Feroxbuster (rust): Content discovery tool mixing several options of the previous tools
  • Javascript Parsing: A Burp extension to find path and params in JS files.
  • Sourcemapper: A tool that given the .js.map URL will get you the beatified JS code
  • xnLinkFinder: This is a tool used to discover endpoints for a given target.
  • waymore: Discover links from the wayback machine (also downloading the responses in the wayback and looking for more links
  • HTTPLoot (go): Crawl (even by filling forms) and also find sensitive info using specific regexes.
  • SpiderSuite: Spider Suite is an advance multi-feature GUI web security Crawler/Spider designed for cyber security professionals.
  • jsluice (go): It's a Go package and command-line tool for extracting URLs, paths, secrets, and other interesting data from JavaScript source code.
  • ParaForge: ParaForge is a simple Burp Suite extension to extract the paramters and endpoints from the request to create custom wordlist for fuzzing and enumeration.
  • katana (go): Awesome tool for this.
  • Crawley (go): Print every link it's able to find.

Brute Force directories and files

Root klasöründen brute-forcing işlemine başlayın ve bu method kullanılarak bulunan tüm dizinleri ve Spidering ile keşfedilen tüm dizinleri brute-force ettiğinizden emin olun (bu işlemi recursively yapabilir ve kullanılan wordlist'in başına bulunan dizinlerin isimlerini ekleyebilirsiniz).
Tools:

  • Dirb / Dirbuster - Included in Kali, old (and slow) but functional. Allow auto-signed certificates and recursive search. Too slow compared with th other options.
  • Dirsearch (python): It doesn't allow auto-signed certificates but allows recursive search.
  • Gobuster (go): It allows auto-signed certificates, it doesn't have recursive search.
  • Feroxbuster - Fast, supports recursive search.
  • wfuzz wfuzz -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt https://domain.com/api/FUZZ
  • ffuf - Fast: ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://10.10.10.10/FUZZ
  • uro (python): This isn't a spider but a tool that given the list of found URLs will to delete "duplicated" URLs.
  • Scavenger: Burp Extension to create a list of directories from the burp history of different pages
  • TrashCompactor: Remove URLs with duplicated functionalities (based on js imports)
  • Chamaleon: It uses wapalyzer to detect used technologies and select the wordlists to use.

Recommended dictionaries:

Note that anytime a new directory is discovered during brute-forcing or spidering, it should be Brute-Forced.

What to check on each file found

  • Broken link checker: Find broken links inside HTMLs that may be prone to takeovers
  • File Backups: Tüm dosyaları bulduktan sonra, yürütülebilir dosyaların (".php", ".aspx"...) yedeklerini arayın. Yedek isimlendirme için yaygın varyasyonlar şunlardır: file.ext~, #file.ext#, ~file.ext, file.ext.bak, file.ext.tmp, file.ext.old, file.bak, file.tmp ve file.old. Ayrıca bfac veya backup-gen araçlarını kullanabilirsiniz.
  • Discover new parameters: Gizli parametreleri keşfetmek için Arjun, parameth, x8 ve Param Miner gibi araçları kullanabilirsiniz. Mümkünse her yürütülebilir web dosyasında gizli parametreleri aramaya çalışın.
  • Arjun all default wordlists: https://github.com/s0md3v/Arjun/tree/master/arjun/db
  • Param-miner “params” : https://github.com/PortSwigger/param-miner/blob/master/resources/params
  • Assetnote “parameters_top_1m”: https://wordlists.assetnote.io/
  • nullenc0de “params.txt”: https://gist.github.com/nullenc0de/9cb36260207924f8e1787279a05eb773
  • Comments: Tüm dosyaların yorumlarını kontrol edin; burada credentials veya gizli fonksiyonellik bulunabilir.
  • Eğer CTF oynuyorsanız, yaygın bir hile sayfanın sağına yüzlerce boşluk koyup bir yoruma bilgi gizlemek olabilir (tarayıcıyla kaynak kodu açtığınızda görünmez). Diğer bir seçenek birkaç yeni satır kullanıp sayfanın en altında bir yorum içinde bilgi saklamaktır.
  • API keys: Eğer herhangi bir API anahtarı bulursanız, farklı platformların API anahtarlarını nasıl kullanacağınızı gösteren rehberleri kullanabilirsiniz: keyhacks, zile, truffleHog, SecretFinder, RegHex, DumpsterDive, EarlyBird
  • Google API keys: Eğer AIza ile başlayan bir API anahtarı gibi bir şey bulursanız (ör. AIzaSyA-qLheq6xjDiEIRisP_ujUseYLQCHUjik), bu anahtarın hangi API'lere erişebildiğini kontrol etmek için gmapapiscanner projesini kullanabilirsiniz.
  • S3 Buckets: Spidering sırasında herhangi bir subdomain veya linkin bir S3 bucket ile ilişkili olup olmadığını kontrol edin. Böyle bir durum varsa, bucket'ın permissions'larını kontrol edin.

Special findings

Spidering ve brute-forcing yaparken fark etmeniz gereken ilginç şeylerle karşılaşabilirsiniz.

İlginç dosyalar

403 Forbidden/Basic Authentication/401 Unauthorized (bypass)

403 & 401 Bypasses

502 Proxy Error

Eğer bir sayfa bu kodla cevap veriyorsa, muhtemelen yanlış yapılandırılmış bir proxy söz konusudur. Eğer şu şekilde bir HTTP isteği gönderirseniz: GET https://google.com HTTP/1.1 (host header ve diğer yaygın header'larla), proxy google.com'a erişmeye çalışacak ve bir SSRF bulmuş olacaksınız.

NTLM Authentication - Info disclosure

Eğer kimlik doğrulama isteğinde bulunan sunucu Windows ise veya giriş ekranı sizden credentials (ve domain name) istiyorsa, bir information disclosure tetikleyebilirsiniz.
Aşağıdaki header'ı gönderin: “Authorization: NTLM TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=” ve NTLM kimlik doğrulamasının çalışma şekli nedeniyle sunucu "WWW-Authenticate" başlığı içinde iç ağ bilgilerini (IIS versiyonu, Windows versiyonu...) döndürecektir.
Bunu otomatikleştirmek için nmap plugin'i "http-ntlm-info.nse" kullanılabilir.

HTTP Redirect (CTF)

Bir Redirection içine içerik koymak mümkündür. Bu içerik kullanıcıya gösterilmez (tarayıcı yönlendirmeyi gerçekleştirir) ama redirection içinde bir şey gizlenmiş olabilir.

Web Vulnerabilities Checking

Artık web uygulamasının kapsamlı bir keşfini (enumeration) yaptığınıza göre bir çok olası zafiyeti kontrol etme zamanı. Kontrol listesi şu adreste bulunabilir:

Web Vulnerabilities Methodology

Web zafiyetleri hakkında daha fazla bilgi için:

Monitor Pages for changes

Sayfa değişikliklerini izlemek için https://github.com/dgtlmoon/changedetection.io gibi araçlar kullanabilirsiniz; bu sayfalar zafiyet eklenmesini gösterebilecek değişiklikleri tespit eder.

HackTricks Automatic Commands

Protocol_Name: Web    #Protocol Abbreviation if there is one.
Port_Number:  80,443     #Comma separated if there is more than one.
Protocol_Description: Web         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for Web
Note: |
https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-web/index.html

Entry_2:
Name: Quick Web Scan
Description: Nikto and GoBuster
Command: nikto -host {Web_Proto}://{IP}:{Web_Port} &&&& gobuster dir -w {Small_Dirlist} -u {Web_Proto}://{IP}:{Web_Port} && gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_3:
Name: Nikto
Description: Basic Site Info via Nikto
Command: nikto -host {Web_Proto}://{IP}:{Web_Port}

Entry_4:
Name: WhatWeb
Description: General purpose auto scanner
Command: whatweb -a 4 {IP}

Entry_5:
Name: Directory Brute Force Non-Recursive
Description:  Non-Recursive Directory Brute Force
Command: gobuster dir -w {Big_Dirlist} -u {Web_Proto}://{IP}:{Web_Port}

Entry_6:
Name: Directory Brute Force Recursive
Description: Recursive Directory Brute Force
Command: python3 {Tool_Dir}dirsearch/dirsearch.py -w {Small_Dirlist} -e php,exe,sh,py,html,pl -f -t 20 -u {Web_Proto}://{IP}:{Web_Port} -r 10

Entry_7:
Name: Directory Brute Force CGI
Description: Common Gateway Interface Brute Force
Command: gobuster dir -u {Web_Proto}://{IP}:{Web_Port}/ -w /usr/share/seclists/Discovery/Web-Content/CGIs.txt -s 200

Entry_8:
Name: Nmap Web Vuln Scan
Description: Tailored Nmap Scan for web Vulnerabilities
Command: nmap -vv --reason -Pn -sV -p {Web_Port} --script=`banner,(http* or ssl*) and not (brute or broadcast or dos or external or http-slowloris* or fuzzer)` {IP}

Entry_9:
Name: Drupal
Description: Drupal Enumeration Notes
Note: |
git clone https://github.com/immunIT/drupwn.git for low hanging fruit and git clone https://github.com/droope/droopescan.git for deeper enumeration

Entry_10:
Name: WordPress
Description: WordPress Enumeration with WPScan
Command: |
?What is the location of the wp-login.php? Example: /Yeet/cannon/wp-login.php
wpscan --url {Web_Proto}://{IP}{1} --enumerate ap,at,cb,dbe && wpscan --url {Web_Proto}://{IP}{1} --enumerate u,tt,t,vp --passwords {Big_Passwordlist} -e

Entry_11:
Name: WordPress Hydra Brute Force
Description: Need User (admin is default)
Command: hydra -l admin -P {Big_Passwordlist} {IP} -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

Entry_12:
Name: Ffuf Vhost
Description: Simple Scan with Ffuf for discovering additional vhosts
Command: ffuf -w {Subdomain_List}:FUZZ -u {Web_Proto}://{Domain_Name} -H "Host:FUZZ.{Domain_Name}" -c -mc all {Ffuf_Filters}

tip

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking'i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin